Il problema è comune a tutti: la moltiplicazione dei servizi online – siano essi una casella di posta o un portale per farsi portare la spesa comodamente a casa – implica avere decine di account diversi, ognuno dei quali (teoricamente almeno) con credenziali d’accesso diverse.
Questo porta la maggior parte degli utenti ad avere un comportamento molto rischioso, ovvero usare la stessa login e la stessa password per tutti i servizi utilizzati.
Il cybercriminale (che potrebbe essere anche un semplice ragazzino annoiato) che riesce a risalire alle nostre credenziali si trova così in pieno controllo di tutta la nostra vita online, con tutti i rischi del caso. Finché si parla dell’account di Netflix o di Spotify il danno è limitato, ma nel caso si tratti della casella email o del nostro account Google il malintenzionato potrebbe avere accesso alle nostre carte di credito o a informazioni riservate che potrebbe riutilizzare per una truffa phishing più articolata.
Questo aspetto è particolarmente importante nel caso delle email e degli account aziendali, nei quali la sicurezza spesso viene presa sottogamba: la cybersicurezza è forte quanto il suo anello più debole e (come abbiamo già visto nell’articolo sui rischi del phishing) questo anello è invariabilmente rappresentato dall’elemento umano.
I malintenzionati sanno perfettamente che spesso sono le persone a non mettere in atto precauzioni adeguate, e spesso hanno ragione.
Ma come fare per mettere in sicurezza i propri account senza dover ricordare decine e decine di password?
Per prima cosa è necessario un cambio di mentalità e comprendere l’importanza dei nostri dati e dei nostri account al giorno d’oggi. Disporre quindi di una password sicura e poi replicarla su più account o utilizzare piccole variazioni della stessa password non è più sufficiente: non lo era prima, quando i servizi online si limitavano alla posta elettronica e non lo è ora che è possibile fare qualsiasi cosa seduti comodamente da casa.
La tentazione di utilizzare una password di senso compiuto è forte ma è un errore: per quanto lunga e difficile da indovinare, utilizzare elementi della nostra vita (il nome del nostro gatto, ad esempio, o una frase che ci è particolarmente cara) per una password importante ci pone a rischio di vulnerabilità.
Perché siano efficaci, le password devono essere composte da un mix di maiuscole, minuscole, numeri e caratteri speciali ed essere lunghe almeno 8-16 caratteri, magari generate in maniera casuale da un programma apposito.
A prescindere dalla complessità poi, è buona abitudine cambiarle (o quantomeno quelle a protezione degli account più sensibili) con una certa frequenza, in modo che in caso di attacco a siti le credenziali abbiano un’obsolescenza rapida.
In secondo luogo, è bene attivare (almeno per i siti che la prevedono, come Google) l’autenticazione multi-fattore. Considerare infatti la password come unica linea di difesa non è più sufficiente: è necessario integrarla con altri livelli di sicurezza.
Nell’autenticazione multi-fattore la password rappresenta il primo livello, ovvero il qualcosa che sai, al quale si aggiungono ulteriori livelli rappresentati da qualcosa che hai, come nel caso di una password OTP (One Time Password) generata da un dispositivo locale o da un token di sicurezza inviato via SMS, e da qualcosa che sei nel caso della biometria (impronte digitali o riconoscimento facciale). La combinazione di almeno due di questi fattori permette elevati livelli di sicurezza, proprio perché disgiunti e indipendenti fra loro.
Per quanto riguarda la gestione delle password, invece, ci sono due soluzioni possibili:
- Dotarsi di un password manager ovvero di un programma che conserva tutte le vostre password in un file cifrato ad alta protezione e al quale è possibile accedere per mezzo di una master password conosciuta solo da voi. In questo modo è possibile differenziare e predisporre password complesse e sicure per ognuno dei vostri account e accedere tramite il programma (disponibile e sincronizzato sui vostri dispositivi) che funziona da gateway.
- Nel caso di Google è possibile sincronizzare i dati sul proprio account in modo da poter utilizzare le proprie password su ogni dispositivo semplicemente accedendo con il proprio account. In questo caso è ancora più importante utilizzare l’autenticazione multi-fattore di Google, che in questo caso funge da master password. Nel caso decidessimo di non sincronizzare le password sull’account online, queste saranno residenti in locale. Quindi è fondamentale disporre di un supporto esterno dove tenere traccia delle nostre password.
Pertanto, la prossima volta che sarete tentati di utilizzare una password semplice, magari condivisa per più account, soffermatevi sulle conseguenze di una possibile intrusione. Il danno si limiterà a un fastidio o potrebbe essere qualcosa di più importante, come un danno economico consistente e la necessità di bloccare carte di credito e conti correnti?
Proteggere i propri dati non è più un’opzione, è un dovere: ignorare i rischi equivale a esporsi fino al momento in cui non sarà troppo tardi.
Tuttavia, nel caso riteniate di aver ricevuto un'email di phishing, ci sono
alcune misure da mettere in atto per proteggersi e prevenire ulteriori frodi.